Pressione enter para ver os resultados ou esc para cancelar.

Arquivo de categorias para " LGPD"

LGPD: a minha empresa precisa se preocupar?

Empresários do ramo da tecnologia já estão familiarizados com temas relacionados à privacidade dos usuários.

Isso ocorre porque a utilização de dados de usuários e clientes na internet gera debates acalorados no universo tecnológico.

Para muitos, os limites ainda não estão bem definidos.

Com a introdução da Lei Geral de Proteção de Dados Pessoais (LGPD), o cenário muda.

Não há mais espaço para a incerteza.

Empresas que possuem bancos de clientes e usuários necessitam entender sobre o que se trata a lei, a fim de não entrarem na ilegalidade!

Se você é um empresário que atua no ramo tecnológico ou que não sabe ao certo sobre o que versa a lei, fique ligado na sequência.

A privacidade na mira dos europeus

Recentemente, o uso indevido de dados pessoais em diversos vazamentos – inclusive, com influência nas eleições americanas de 2016 – motivou o parlamento da União Europeia a desenvolver uma legislação específica sobre o tema.

Assim, em 2018, foi criado o GDPR – General Data Protection Regulation ou Regulamento Geral sobre a Proteção de Dados.

O regulamento disciplina a maneira como dados provenientes dos residentes na União Europeia devem ser processados e influencia empresas em todo o mundo, já que a internet permite que cidadãos europeus entrem em contato com sites estrangeiros e vice-versa.

Em suma, a lei europeia protege os cidadãos do uso indevido e da comercialização das suas informações pessoais.

É importante frisar que a LGPD brasileira foi fortemente influenciada pelo regulamento colocado em vigor no velho mundo.

Mas, afinal, o que diz a Lei Geral de Proteção de Dados Pessoais?

A Lei Geral de Proteção de Dados

A Lei 13.709/2018, mais conhecida como a Lei Geral de Proteção de Dados, foi criada no contexto global da discussão sobre a privacidade e visa proteger clientes, usuários e consumidores da má utilização dos seus dados pessoais por empresas.

Apesar de aprovada em 2018, a lei deu prazo de dois anos para as adequações.

O prazo vence em agosto de 2020, quando se inicia a fiscalização e cumprimento efetivo da LGPD.

Antes de mais nada, é importante sublinhar que a lei brasileira disciplina toda e qualquer informação sensível de clientes, seja ela guardada em meio físico ou digital.

Deste modo, todas as empresas devem se adequar à legislação, incluindo aquelas que não são do ramo da tecnologia da informação!

Os principais fundamentos da LGPD se dão da seguinte maneira:

  • Respeito à privacidade

  • Autodeterminação informativa

  • Inviolabilidade da intimidade […]

  • Livre iniciativa, a livre concorrência e a defesa do consumidor e

  • Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Como se depreende da leitura, o principal foco da lei é proteger os cidadãos.

Exatamente por conta do foco legal, é necessário que as empresas entendam a LGPD.

O não cumprimento das suas regras acarreta em punições severas, como será visto adiante.

Com todos os fatores em consideração, quem são os principais afetados pela Lei Geral de Proteção de Dados Pessoais?

Os sujeitos da Lei Geral

A LGPD elenca quatro sujeitos nas operações de processamento de dados sensíveis:

  • Titular é a pessoa cujos dados se pretende proteger
  • Controlador é a pessoa natural ou jurídica, de direito público ou privado, que decide o que será feito com os dados pessoais
  • Operador é a pessoa natural ou jurídica, de direito público ou privado indicada pelo controlador que efetivamente realiza o processamento dos dados pessoais
  • Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre todas as partes, incluindo a autoridade reguladora e fiscalizadora.

Caso a sua empresa possua um banco de dados pessoais dos clientes, ela certamente se encaixa em uma ou mais das hipóteses acima e poderá ser responsabilizada por infringir a Lei.

Outro ponto importante é que as pessoas físicas também são atingidas pelo rigor legal, caso possuam informações pessoais acerca dos seus clientes.

É difícil imaginar, portanto, uma empresa que não esteja sob o escrutínio da nova legislação.

Mas, afinal, do que trata a Lei Geral de Proteção de Dados Pessoais?

Principais pontos da LGPD

A Lei Geral de Proteção de Dados Pessoais possui princípios que são de importante conhecimento das empresas:

Finalidade

Os dados pessoais devem ser utilizados com a finalidade a que foram destinados e informados ao titular. Qualquer desvio nesta utilização, incluindo a comercialização por terceiros, é um desrespeito flagrante à LGPD.

Adequação 

Além de respeitar a finalidade para a qual se destinam os dados, a empresa deve garantir que o uso seja adequado ao contexto, ou seja: que o processamento dos dados seja contextualizado e faça sentido com o seu propósito inicial.

Necessidade

A lei prevê a limitação do tratamento dos dados ao mínimo necessário para a realização de suas finalidades.

Livre acesso

Os titulares devem ter a garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento das informações, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados

Os dados pessoais deverão ser exatos, claros, relevantes e atualizados em relação à finalidade para a qual foram coletados.

Transparência

O conteúdo dos dados guardados deve ser transparente, ou seja, o titular deve ter fácil acesso as suas informações.

Segurança

A empresa deve proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção

O responsável pelo tratamento dos dados deve adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação

Os dados não podem ser utilizados para fins discriminatórios ilícitos ou abusivos.

Responsabilização e prestação de contas

O agente deve adotar medidas eficazes e capazes de comprovar a observância e o cumprimento das normas.

O que ocorre caso a empresa infrinja a lei? Vejamos a seguir.

O que ocorre se a empresa desrespeitar a Lei

A Lei prevê sanções graves em caso do seu descumprimento:

  • Advertência, com indicação de prazo para adoção de medidas corretivas
  • Multa simples, de até 2% (dois por cento) do faturamento limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração
  • Multa diária por descumprimento
  • Publicização da infração
  • Bloqueio dos dados pessoais até a regularização
  • Eliminação dos dados pessoais a que se refere a infração
  • Suspensão parcial do funcionamento do banco de dados pelo período máximo de 6 (seis) meses, prorrogável por igual período
  • Suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de 6 (seis) meses, prorrogável por igual período
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados

A Lei Geral de Proteção de Dados Pessoais é extremamente rigorosa, o que nos faz voltar à pergunta do início:

Afinal, minha empresa deve se preocupar com a LGPD?

Sim!

Atualmente, praticamente todas as empresas possuem bancos de dados sobre os seus clientes e, portanto, são afetadas pela LGPD.

Quem não se adequar está sujeito ao rigor da lei, que pode significar desde uma multa milionária até a proibição de exercer as atividades, dependendo do caso e do setor.

Não se engane sobre a possível falta de fiscalização.

A tendência é o aumento contínuo da proteção do direito à privacidade dos consumidores.

Não espere até receber uma notificação legal ou uma multa!

A equipe da Lumiun Tecnologia possui profissionais especializados no assunto.


Continue informado sobre o assunto

Veja nosso outro artigo com 14 dicas para ficar em conformidade com a LGPD.

Se você tem interesse em saber mais sobre este e outros assuntos do universo tecnológico, assine nossa newsletter Semana da Segurança da Informação para receber semanalmente um conteúdo seletivo sobre o assunto.

Continue visitando também o nosso blog. São diversos artigos relacionados à segurança da informação e produtividade da equipe!

14 dicas para ficar em conformidade com a LGPD

Como já escrevi em outro artigo aqui no blog, a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709) foi sancionada no dia 14 de agosto de 2018 e passa a entrar em vigor a partir de agosto de 2020. Essa regulamentação estabelece uma série de regras que todas as empresas e organizações atuantes no Brasil terão de seguir para permitir que o cidadão tenha mais controle sobre seus dados pessoais, garantindo uma transparência no uso dos dados das pessoas físicas em quaisquer meios.

Nesse artigo você vai encontrar algumas dicas para conseguir cumprir com alguns pontos da LGPD. Mas aviso de antemão que não existe nenhuma ferramenta ou software “canivete suíço” que vai solucionar tudo. Para o cumprimento dessa lei além de ferramenta será necessário a implantação de muitos processos.

Estude a LGPD

Antes de listar as dicas, é importante que seja definida uma equipe que seja responsável por analisar os procedimentos internos quanto a coleta dos dados e o fluxo dessas informações na empresa envolvendo terceiros. Por isso, é imprescindível que essas pessoas estudem a Lei profundamente para que consigam entender todos os princípios e hipóteses as quais se aplicam.

Seguem alguns conteúdos para você iniciar e se aprofundar no assunto:

Vamos às dicas

Agora chega de enrolar. Abaixo listo algumas dicas que vão auxiliar sua empresa entrar em conformidade com a LGPD.

Dica 1: Termo de Consentimento para Tratamento de Dados Pessoais

Recomenda-se a definição de um processo de obtenção do consentimento do titular a ser utilizado pela empresa que seja claro, distinto e que não esteja agrupado com outros acordos ou declarações e que seja ativo (fornecido pelo titular, sem o uso de caixas pré-marcadas). O consentimento deverá ser documentado, por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento existente não tenha sido obtido de acordo com a LGPD, recomenda-se que o consentimento seja renovado antes da entrada em vigor da LGPD, se não for possível utilizar outra base legal.

Criamos um modelo de documento que você pode baixar, adaptar conforme suas necessidades e obter o consentimento dos colaboradores e usuários para a utilização dos dados pela empresa. Baixe agora o Modelo de documento para o Termo de Consentimento para Tratamento de Dados Pessoais.

Dica 2: Gerenciamento dos Direitos dos Titulares de Dados

Implementar um portal de privacidade (front-end) com uma solução de Gerenciamento dos Direitos dos Titulares de Dados com foco nos clientes da empresa, de forma tempestiva (15 dias para a LGPD). Esse portal gerenciará todo o workflow da solicitação e deve conter as seguintes funcionalidades:

  • Formulário de preenchimento da solicitação, que pode ser apresentado em diversos produtos digitais da empresa;
  • Validação da identidade dos titulares de dados;
  • Controlar prazos, atividades e custos da solicitação;
  • Identificar os dados pessoais dentro da empresa para proceder com a divulgação ao titular de dados, a correção, a exclusão ou portabilidade dos dados pessoais.

Dica 3: Elaborar uma Política de Retenção e Descarte de Dados

Esta política deve incluir os princípios de retenção e descarte apropriados de dados pessoais, observando os requisitos legais da LGPD. Além disso, a política deve conter:

  • Uma tabela de temporalidade atualizada para armazenamento das informações levando em consideração os dados pessoais coletados;
  • Procedimentos de descarte apropriado para ativos (papéis, computadores, mídias removíveis) que contenham dados pessoais;
  • Processo de exclusão ou anonimização de dados quando estes não forem mais necessários para a empresa, observando a necessidade de armazenamento de dados para atender obrigações legais;
  • Processo de backup de dados pessoais armazenados em sistemas;
  • Processo de pseudonimização para os dados sensíveis em repouso. Incorporar na cultura da empresa os princípios de minimização de dados, onde a empresa realiza a coleta apenas das informações estritamente necessárias, pelo período que for necessário.

Dica 4: Registro das Operações de Tratamento de Dados Pessoais

A LGPD exige a elaboração e manutenção de um Registro das Operações de Tratamento de Dados Pessoais, que deverá incluir:

  • Os nomes e os contatos do Controlador/ Operador e, quando aplicável, de qualquer responsável pelo tratamento em conjunto, dos representantes das entidades e do DPO (Data Protection Officer);
  • A finalidade do processamento dos dados;
  • A descrição das categorias dos titulares de dados e das categorias dos dados pessoais;
  • As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
  • Os prazos previstos para a exclusão das diferentes categorias de dados;
  • As bases legais estipuladas para tratamento de dados.

Dica 5: Processo para Análise de Impacto à Proteção de Dados (DPIA).

Implementar / adquirir uma solução para realização da DPIA de forma sistêmica e centralizada. Essa solução deve ter as seguintes funcionalidades:

  • Projetos de privacidade da empresa consolidados em um dashboard central para gerenciamento das atividades de proteção de dados;
  • Classificação dos projetos quanto ao envolvimento de dados pessoais e critérios de risco (se existe profiling, dados sensíveis, grande volume de dados processados, etc.);
  • Gerenciamento do workflow da DPIA, desde a seleção do fluxo de dados utilizando os critérios estabelecidos até a aprovação final do Encarregado;
  • Orientação e template para preenchimento da DPIA disponibilizado de forma centralizada para todo a empresa;
  • Análise de riscos e GAPs dos fluxos de dados pessoais;
  • Registro das atividades de proteção de dados realizadas ao longo do projeto para fins de conformidade.

Dica 6: Implementar um modelo de governança de DPO

Implementar um modelo de governança de DPO (Data Protection Officer), definindo os papéis e responsabilidades para atender às expectativas regulatórias conforme as mudanças trazidas pela LGPD.

Dentro da rotina do DPO, entendemos que haverá tarefas como (i) realização de Due Diligence de terceiros periódica; (ii) manutenção e atualização do ROPA; (iii) elaboração e manutenção da DPIA, quando necessário; (iv) realização de auditorias periódicas internas para análise do nível de conformidade; (v) rotina de treinamentos sobre a LGPD para funcionários e colaboradores periódica; (vi) rotina de acompanhamento de jurisprudências, consultas à ANPD, novas certificações, boas práticas de mercado e etc…

Dica 7: Contratação de um assessor externo

Recomenda-se a contratação de um assessor externo para assessorá-lo na análise do atual compliance da empresa com a LGPD, indicação dos pontos de melhoria e exigências legais, bem como definição de um plano de ação para implementação das ações necessárias para que a empresa esteja em conformidade com a LGPD.

Dica 8: Treinamento sobre privacidade para educar os funcionários

Elaborar um programa de treinamento sobre privacidade e proteção de dados para educar os funcionários sobre a importância da privacidade e proteção de dados pessoais, capacitando-os para realizar os processamentos de dados adequadamente, mitigando os riscos de alguma violação de dados acontecer.

Esse programa pode ter duas fases, de acordo com a sua abordagem. A primeira fase é comum para todos os funcionários e abordará o que são as leis de privacidade e proteção de dados, os seus princípios, os riscos de não estar em conformidade com elas, o que são dados pessoais e sensíveis, bases legais, o que é considerado como processamento de dados, como classificar o dado antes de armazená-lo, como descartá-lo corretamente, o que é o ROPA, a DPIA, o papel e importância do encarregado de dados (DPO) e como reportar uma violação de dados na empresa. A fase um pode ser um treinamento online, disponibilizado para os funcionários na intranet. Na segunda fase do programa, o treinamento deverá ser direcionado para cada área de negócio, de acordo com a natureza de relacionamento que elas possuem com os titulares de dados (relacionamento com cliente, financeiro, RH, etc.). Essa fase abordará com mais profundidade a aplicação das bases legais de acordo com os tipos de processamento que a área realiza e terá apresentação de cases específicos conforme a atuação da área (exemplo de cases de profiling para área de marketing). A fase dois pode ser presencial para os funcionários da área.

Os treinamentos devem ser reciclados periodicamente de acordo com a política interna da empresa ou quando houver mudanças significadas nas leis de privacidade.

Implementar métricas de aprovação/reprovação para medir a aplicação do treinamento e nível de aprendizado, tanto individualmente por funcionário quanto por área de negócio.

Dica 9: Gestão de Identidade e Acessos

Implementar um pool de soluções para Gestão de Identidade e Acessos para prover a governança e administração das identidades e seus respectivos direitos de acesso aos dados pessoais e sensíveis armazenados nos ativos da empresa.
É recomendável que todo o ciclo de vida dos usuários e seus acessos aos dados pessoais e sensíveis sejam gerenciados através de workflows para mitigar os riscos de dados pessoais e sensíveis serem acessados por pessoas não autorizadas, o que pode ocasionar uma violação de dados de acordo com a LGPD.

Dica 10: Gestão de Incidentes

Estruturar, definir e formalizar um processo de Gestão de Incidentes, visando contemplar planos de resposta à incidentes relacionados ao tema de privacidade de dados. Esse plano deve conter procedimentos e diretrizes que orientem as áreas envolvidas na identificação, monitoramento, remediação e reporte de incidentes de violação de dados, bem como abordar a categorização de um incidente de violação de dados e o seu registro nas ferramentas. O processo de gestão de incidentes de violação deve ser testado e validado regularmente para avaliar a capacidade de atendimento aos requisitos de privacidade relevantes.

Recomenda-se que seja definido um processo de comunicação formal com as autoridades de proteção de dados e os titulares de dados. Essa comunicação deve ter o envolvimento do Encarregado de Dados (DPO) da empresa e deve ser realizada dentro dos prazos estabelecidos pela LGPD.

Além disso, deve-se ser estabelecido um processo de notificação de violação de dados que contenha:

  • A identidade e o contato do encarregado de dados e outras partes relevantes da empresa;
  • Descrição das possíveis consequências (riscos) da violação de dados;
  • Descrição da natureza da violação, informando quais e a quantidade de titulares que foram afetados;
  • Medidas técnicas e organizacionais aplicadas para mitigar as consequências dessa violação.

Dica 11: Revisão de antigos contratos

Recomendamos revisar os antigos contratos e incluir cláusulas protetivas relacionadas à proteção de dados e conformidade com a LGPD, bem como ajustar os contratos padrão existentes de modo a incluir cláusulas neste sentido, inclusive sobre a possibilidade de auditoria. A depender do caso, pode-se indicar a forma da realização dos tratamentos de dados e medidas mínimas de segurança a serem respeitadas.

Conduzir avaliações de conformidades com terceiros/fornecedores novos e existentes (a cada renovação de contrato) para verificar se estão em conformidade com a LGPD.

Dica 12: Política de privacidade interna e externa

Não há uma definição legal dos tipos de política de privacidade interna e externa que uma empresa deve possuir. De todo modo, sugerimos que a empresa elabore e mantenha as políticas de privacidade abaixo com bases nas melhores práticas de mercado e visando maior compliance com o framework de proteção de dados pessoais.

Com relação às políticas externas, via de regra as empresas possuem:

  • Política de Privacidade
  • Política de Cookies

Já com relação às políticas internas, normalmente as empresas possuem:

  • Política de Privacidade e Proteção de Dados
  • Política de Retenção e Destruição de Dados
  • Política de Gerenciamento de Dados em Dispositivos Móveis
  • Política de Segurança de Dados

Dica 13: Definir um processo para acompanhar as mudanças regulatórias da LGPD

Esse processo irá auxiliar a empresa a manter-se atualizada sobre as leis em questão, fornecendo subsídio para tomadas de decisão.

Além disso, recomenda-se que um processo seja definido para atualizar as políticas, normativos, treinamentos, procedimentos, processos e demais operações, a fim de refletir as mudanças regulatórias quando estas acontecerem.

Dica 14: Implementar uma solução para aumentar a segurança da informação

De nada adianta implementar vários processos de coleta das informações se as mesmas estiverem desprotegidas ou os equipamentos (computadores, celulares, etc) dos colaboradores não possuírem ferramentas como Antivírus e Gerenciador de acesso à internet.

Por isso, é de extrema importância que a empresa possua soluções que aumentem a camada de segurança dos dispositivos e da rede. Segue algumas sugestões:

  • Antivírus:
    • Kaspersky Anti-Virus: costuma frequentar o top 3 das principais listas de melhores antivírus do mundo há tempos. Ele oferece recursos avançados de varredura e limpeza, além de ser capaz de desfazer ações realizadas por malwares e por isso está no topo desta lista;
    • Bitdefender Antivirus Plus: oferece proteção completa para quem quer se ver livre de malwares. Ele conta com ferramentas de recuperação para vírus persistentes, gerenciamento de senhas e ainda incrementa a segurança do seu navegador para você realizar transações financeiras;
    • F-Secure Anti-Virus: Uma das características mais marcantes do F-Secure Anti-Virus é a velocidade do seu modo de varredura rápida — e essa agilidade consegue ser ainda maior quando você refaz o processo. Isso garante praticidade e rapidez na hora de manter seu computador seguro. Além disso, ele tem recursos especiais para combater a ação de malwares, bloqueando e monitorando a ação de arquivos suspeitos.
  • Gerenciador de acesso à internet:
    • Soluções que necessitam um maior investimento, indicado para empresas grandes
    • Solução mais acessível, indicado para pequenas e médias empresas
      • Lumiun: O Lumiun é um serviço baseado em nuvem que protege sua empresa das ameaças da internet, tornando a rede mais segura e a equipe mais produtiva. O Lumiun funciona de forma diferenciada, pois o maior objetivo é ser uma solução fácil de ser implementada e gerenciada. Sabe-se que atualmente um dos maiores problemas das empresas é a baixa produtividade e a falta de segurança e é neste segmento que o Lumiun atua, simplificado às empresas de pequeno e médio porte.



Para escolher a melhor opção para aumentar a segurança da informação é importante definir bem as necessidades da sua empresa e comparar os custos, características e benefícios de cada uma das soluções existentes.


Gostou desse artigo? Então compartilhe com seus colegas de trabalho para que possam juntos deixar a empresa compliant com a LGPD.

Tem alguma dúvida? Escreva aqui nos comentários e terei o enorme prazer de te responder.

LGPD: o que é e como aplicar na empresa?

A Lei Geral de Proteção de Dados Pessoais (LGPD) entrará em completo vigor em agosto de 2020 para todo o território nacional. O Brasil terá então uma legislação específica para proteger os dados e a privacidade de todos os cidadãos brasileiros. Por ser um projeto de interesse de todos os cidadãos, a LGPD está deixando…

Continuar lendo